Kapitel 6. Virtuelle Private Netzwerke

Unternehmen mit mehreren Zweigstellen sind häufig über spezielle Leitungen miteinander verbunden, um Effizienz und Schutz empfindlicher Daten zu gewähren. Viele Firmen nutzen zum Beispiel Frame Relay oder Asynchronous Transfer Mode (ATM) Leitungen als End-to-End Netzwerklösung, um Büros miteinander zu verbinden. Dies kann eine teurere Lösung darstellen, insbesondere für kleine bis mittlere Unternehmen, die sich vergrößern, jedoch nicht die hohen Kosten für hochrangige Digitalschaltungen in Kauf nehmen wollen.

Virtuelle Private Netzwerke (VPN) stellen eine Lösung für dieses Problem dar. Dem Prinzip besonders zugewiesener Digitalschaltungen folgend, ermöglichen VPNs gesicherte, digitale Kommunikation zwischen zwei Parteien (oder Netzwerken) und erstellen somit ein Wide-Area-Netzwerk (WAN) aus bestehenden Local-Area-Netzwerken (LANs). Der Unterschied zum Frame Relay oder ATM ist das Transportmedium. VPNs übertragen über IP- oder Datagram (UDP)-Schichten, und sorgen somit für einen sicheren Transfer durch das Internet zum Bestimmungsort. Die meisten frei verfügbaren VPN-Implementierungen enthalten Open Standard, eine Open Source Verschlüsselung für das Maskieren von Daten während der Übertragung.

Einige Unternehmen setzen VPN-Hardwarelösungen ein, um die Sicherheit zu erhöhen, während andere Software- oder Protokoll-basierte Implementierungen verwenden. Es gibt mehrere Hersteller für Hardware-VPN-Lösungen, wie z.B. Cisco, Nortel, IBM und Checkpoint. Es gibt eine kostenlose, Software-basierte VPN-Lösung für Linux mit dem Namen FreeS/Wan, die eine standardisierte IPSec (Internet Protocol Security) Implementierung verwendet. Diese VPN-Lösungen verhalten sich wie spezielle Router, die sich in der IP-Verbindung von einem Büro zum nächsten befinden.

Wird ein Paket von einem Client übertragen wird, wird dies durch den Router oder das Gateway geschickt, die wiederum Header-Informationen für Routing und Authentifizierung hinzufügen, die Authentication Header (AH) genannt werden. Die Daten sind verschlüsselt und mit Anleitungen zur Entschlüsselung und Handhabung versehen, die Encapsulating Security Payload (ESP) genannt werden. Der empfangende VPN-Router holt sich die Header-Information und leitet diese zum Zielort weiter (entweder zu einer Workstation oder einem Knoten im Netzwerk). Unter Verwendung einer Netzwerk-zu-Netzwerk Verbindung erhält der empfangende Knoten am lokalen Netzwerk die Pakete unverschlüsselt und bereit zur Verarbeitung. Der Verschlüsselungs-/Entschlüsselungsprozess in einer Netzwerk-zu-Netzwerk VPN-Verbindung, ist für den lokalen Knoten transparent.

Durch solch einen erhöhten Grad an Sicherheit muss ein Cracker nicht nur ein Paket abfangen, sondern dies auch entschlüsseln. Eindringlinge, die eine Man-in-the-Middle-Attacke zwischen einem Server und einem Client durchführen, müssen daher auch Zugang zu mindestens einem der Schlüssel besitzen, die für die Authentifizierung verwendet werden. VPNs sind ein sicheres und effektives Mittel für die Verbindung mehrerer entfernter Knoten, die sich dann als ein vereinheitlichtes Intranet verhalten.